DatabaseBlobAuditingPolicyProperties interface

Właściwości polityki audytu blobów bazy danych.

Właściwości

auditActionsAndGroups

Określa Actions-Groups i akcje do inspekcji.

Zalecany zestaw grup akcji do użycia jest następującą kombinacją — spowoduje to inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślnych i zakończonych niepowodzeniem logowań:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ta powyższa kombinacja jest również zestawem domyślnie skonfigurowanym podczas włączania audytu z portalu Azure.

Obsługiwane grupy akcji do inspekcji to (uwaga: wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Użycie niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to zduplikowanie dzienników inspekcji.

Aby uzyskać więcej informacji, zobacz Database-Level Inspekcja grup akcji.

W przypadku zasad inspekcji bazy danych można również określić określone akcje (należy pamiętać, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane działania audytu to: WYBIERZ AKTUALIZACJĘ WSTAW USUŃ WYKONAJ ODBIERANIE REFERENCJI

Ogólna forma definiowania akcji do audytu to: {action} ON {object} BY {principal}

Należy pamiętać, że <obiekt> w powyższym formacie może odwoływać się do obiektu, takiego jak tabela, widok lub procedura składowana albo cała baza danych lub schemat. W tych ostatnich przypadkach używane są odpowiednio formularze DATABASE::{db_name} i SCHEMA::{schema_name}.

Na przykład: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Aby uzyskać więcej informacji, zobacz Database-Level Akcje inspekcji

isAzureMonitorTargetEnabled

Określa, czy zdarzenia audytowe są wysyłane do Azure Monitor. Aby wysłać zdarzenia do Azure Monitor, określ 'Stan' jako 'Włączony', a 'IsAzureMonitorTargetEnabled' jako prawdę.

W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych "master" jako {databaseName}.

Ustawienia diagnostyczne Format URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Więcej informacji można znaleźć w Ustawieniach diagnostycznych REST API lub Ustawieniach diagnostycznych w PowerShell

isManagedIdentityInUse

Określa, czy tożsamość zarządzana jest używana do uzyskiwania dostępu do magazynu obiektów blob

isStorageSecondaryKeyInUse

Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu.

queueDelayMs

Określa czas w milisekundach, po upływie którego przetworzenie działań inspekcji zostanie wymuszone. Domyślna wartość minimalna to 1000 (1 sekunda). Maksymalna wartość to 2147 483 647.

retentionDays

Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu.

state

Określa stan inspekcji. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.

storageAccountAccessKey

Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony, a punkt storageEndpoint jest określony, nie określa wartości storageAccountAccessKey będzie używać przypisanej przez system tożsamości zarządzanej programu SQL Server w celu uzyskania dostępu do magazynu. Wymagania wstępne dotyczące korzystania z uwierzytelniania tożsamości zarządzanej:

  1. Przypisz SQL Server systemowo przypisaną zarządzaną tożsamość w Azure Active Directory (AAD).
  2. Przyznaj dostęp tożsamości SQL Server do konta pamięci, dodając rolę RBAC 'Storage Blob Data Contributor' do tożsamości serwera. Aby uzyskać więcej informacji, zobacz Inspekcja w magazynie przy użyciu uwierzytelniania tożsamości zarządzanej
storageAccountSubscriptionId

Określa identyfikator subskrypcji magazynu obiektów blob.

storageEndpoint

Określa punkt końcowy magazynu obiektów blob (np. https://MyAccount.blob.core.windows.net). Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.

Szczegóły właściwości

auditActionsAndGroups

Określa Actions-Groups i akcje do inspekcji.

Zalecany zestaw grup akcji do użycia jest następującą kombinacją — spowoduje to inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślnych i zakończonych niepowodzeniem logowań:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ta powyższa kombinacja jest również zestawem domyślnie skonfigurowanym podczas włączania audytu z portalu Azure.

Obsługiwane grupy akcji do inspekcji to (uwaga: wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Użycie niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to zduplikowanie dzienników inspekcji.

Aby uzyskać więcej informacji, zobacz Database-Level Inspekcja grup akcji.

W przypadku zasad inspekcji bazy danych można również określić określone akcje (należy pamiętać, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane działania audytu to: WYBIERZ AKTUALIZACJĘ WSTAW USUŃ WYKONAJ ODBIERANIE REFERENCJI

Ogólna forma definiowania akcji do audytu to: {action} ON {object} BY {principal}

Należy pamiętać, że <obiekt> w powyższym formacie może odwoływać się do obiektu, takiego jak tabela, widok lub procedura składowana albo cała baza danych lub schemat. W tych ostatnich przypadkach używane są odpowiednio formularze DATABASE::{db_name} i SCHEMA::{schema_name}.

Na przykład: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Aby uzyskać więcej informacji, zobacz Database-Level Akcje inspekcji

auditActionsAndGroups?: string[]

Wartość właściwości

string[]

isAzureMonitorTargetEnabled

Określa, czy zdarzenia audytowe są wysyłane do Azure Monitor. Aby wysłać zdarzenia do Azure Monitor, określ 'Stan' jako 'Włączony', a 'IsAzureMonitorTargetEnabled' jako prawdę.

W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych "master" jako {databaseName}.

Ustawienia diagnostyczne Format URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Więcej informacji można znaleźć w Ustawieniach diagnostycznych REST API lub Ustawieniach diagnostycznych w PowerShell

isAzureMonitorTargetEnabled?: boolean

Wartość właściwości

boolean

isManagedIdentityInUse

Określa, czy tożsamość zarządzana jest używana do uzyskiwania dostępu do magazynu obiektów blob

isManagedIdentityInUse?: boolean

Wartość właściwości

boolean

isStorageSecondaryKeyInUse

Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu.

isStorageSecondaryKeyInUse?: boolean

Wartość właściwości

boolean

queueDelayMs

Określa czas w milisekundach, po upływie którego przetworzenie działań inspekcji zostanie wymuszone. Domyślna wartość minimalna to 1000 (1 sekunda). Maksymalna wartość to 2147 483 647.

queueDelayMs?: number

Wartość właściwości

number

retentionDays

Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu.

retentionDays?: number

Wartość właściwości

number

state

Określa stan inspekcji. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.

state: BlobAuditingPolicyState

Wartość właściwości

storageAccountAccessKey

Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony, a punkt storageEndpoint jest określony, nie określa wartości storageAccountAccessKey będzie używać przypisanej przez system tożsamości zarządzanej programu SQL Server w celu uzyskania dostępu do magazynu. Wymagania wstępne dotyczące korzystania z uwierzytelniania tożsamości zarządzanej:

  1. Przypisz SQL Server systemowo przypisaną zarządzaną tożsamość w Azure Active Directory (AAD).
  2. Przyznaj dostęp tożsamości SQL Server do konta pamięci, dodając rolę RBAC 'Storage Blob Data Contributor' do tożsamości serwera. Aby uzyskać więcej informacji, zobacz Inspekcja w magazynie przy użyciu uwierzytelniania tożsamości zarządzanej
storageAccountAccessKey?: string

Wartość właściwości

string

storageAccountSubscriptionId

Określa identyfikator subskrypcji magazynu obiektów blob.

storageAccountSubscriptionId?: string

Wartość właściwości

string

storageEndpoint

Określa punkt końcowy magazynu obiektów blob (np. https://MyAccount.blob.core.windows.net). Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.

storageEndpoint?: string

Wartość właściwości

string